Discussion :

[Mathis Lucas]

VoidLink : un framework malveillant Linux jusqu'alors inconnu et « bien plus avancé » que la plupart des maliciels Linux connus
il est conçu pour permettre un accès furtif et durable aux réseaux compromis

Des chercheurs découvrent un framework malveillant qui infecte les machines Linux à l'aide d'un large éventail de modules qui se distinguent par les nombreuses fonctionnalités avancées qu'ils offrent aux pirates. Baptisé VoidLink, ce maliciel inédit comprend plus de 30 modules qui peuvent être utilisés pour personnaliser les capacités afin de répondre aux besoins des attaquants pour chaque machine infectée. Ils peuvent fournir des outils de furtivité et des outils spécifiques pour la reconnaissance, l'escalade des privilèges et les mouvements latéraux à l'intérieur d'un réseau compromis. VoidLink se distingue par sa modularité et sa sophistication.

Ce nouveau maliciel Linux a été découvert par les chercheurs en sécurité de Check Point Research. VoidLink serait un framework malveillant Linux lié à des acteurs de la menace affiliés à la Chine. Il serait jusqu'alors inconnu et spécialement conçu pour permettre « un accès furtif et durable » aux environnements cloud et aux conteneurs basés sur Linux. Dans un rapport publié le 13 janvier, les chercheurs ont noté que VoidLink évolue activement.

Bien qu'aucune preuve d'infection réelle liée à VoidLink n'ait été observée et qu'il ne soit pas clair si le framework est destiné à être vendu comme un outil légitime de test d'intrusion ou comme une boîte à outils cybercriminelle, sa documentation suggère qu'il est destiné à des fins commerciales.

Présentation générale de VoidLink

Les développeurs de VoidLink font preuve d'un haut niveau d'expertise technique et d'une grande maîtrise de plusieurs langages de programmation. Avec VoidLink, ils offrent un outil sophistiqué et riche en fonctionnalités permettant de se déplacer dans les environnements cloud et les écosystèmes de conteneurs avec une furtivité adaptative. Les composants peuvent être facilement ajoutés ou supprimés à mesure que les objectifs changent au cours d'une attaque.

Les conclusions du rapport reflètent un changement d'orientation des acteurs malveillants, qui délaissent les systèmes Windows au profit des systèmes Linux, devenus la base des services cloud et des opérations critiques. Les systèmes Windows ont longtemps été la cible de choix des acteurs de la menace, mais les plateformes Linux sont de plus en plus ciblées depuis quelques années. VoidLink a été découvert pour la première fois en décembre 2025.

Présentation de l'architecture du logiciel malveillant VoidLink

En décembre 2025, Check Point Research a identifié un petit groupe d'échantillons de logiciels malveillants Linux inédits qui semblent provenir d'un environnement de développement affilié à la Chine. D'après les chercheurs, bon nombre des fichiers binaires comprenaient des symboles de débogage et d'autres artefacts de développement, ce qui suggère qu'il s'agissait de versions en cours de développement plutôt que d'un outil fini et largement déployé.

VoidLink est un framework avancé de commande et de contrôle (C2) de logiciels malveillants écrit en Zig et composé de chargeurs personnalisés, d'implants, de rootkits et de plus de 30 plug-ins modulaires conçus pour maintenir un accès à long terme aux machines infectées. Son architecture s'articule autour d'un panneau centralisé basé sur le Web qui permet à l'opérateur de contrôler entièrement les agents, les implants et les plug-ins en cours d'exécution.

Le framework comprend de multiples capacités et modules axés sur le cloud, et est conçu pour fonctionner de manière fiable dans des environnements cloud et conteneurisés sur de longues périodes. L'architecture de VoidLink est extrêmement flexible et hautement modulaire, centrée autour d'une API de plug-in personnalisée qui semble s'inspirer de l'approche Beacon Object Files (BOF) de Cobalt Strike. Cette API est utilisée dans plus de 30 modules plug-in disponibles par défaut.

VoidLink : un maliciel particulièrement dirigé contre le cloud

VoidLink peut cibler les machines au sein des services cloud populaires en détectant si une machine infectée est hébergée sur AWS, Google Cloud, Azure, Alibaba et Tencent. Certains indices laissent penser que les développeurs prévoient d'ajouter des détections pour Huawei, DigitalOcean et Vultr dans les prochaines versions. Pour détecter quel service cloud héberge la machine, VoidLink examine les métadonnées à l'aide de l'API du fournisseur concerné.

Panneau de configuration pour créer des versions personnalisées de VoidLink

VoidLink est capable d'adapter son comportement en conséquence. De plus, VoidLink recueille également les informations d'identification associées aux environnements cloud et aux systèmes standards de contrôle de version du code source, tels que Git. Cela suggère que les ingénieurs logiciels pourraient être une cible potentielle, soit pour des activités d'espionnage, soit pour d'éventuelles attaques futures basées sur la chaîne d'approvisionnement.

La rapidité et la diversité des changements apportés aux échantillons indiquent un framework qui fait l'objet d'itérations rapides pour être utilisé à plus grande échelle dans le monde réel. Selon le rapport de Check Point Research, les capacités des 37 modules découverts à ce jour comprennent :

• techniques axées sur le cloud : outre la détection dans le cloud, ces modules collectent d'énormes quantités d'informations sur la machine infectée, répertorient son hyperviseur et détectent si elle fonctionne dans un conteneur Docker ou un pod Kubernetes ;
• API de développement de plug-ins : VoidLink propose une API de développement étendue qui est configurée lors de l'initialisation du logiciel malveillant ;
• furtivité adaptative : VoidLink énumère les produits de sécurité installés et les mesures de renforcement ;
• fonctions rootkit : elles permettent à VoidLink de se fondre dans l'activité normale du système ;
• commande et contrôle mis en œuvre par le biais de connexions réseau apparemment légitimes vers l'extérieur ;
• anti-analyse grâce à l'utilisation de techniques anti-débogage et de contrôles d'intégrité pour identifier les outils d'analyse courants ;
• un système de plug-ins qui permet à VoidLink d'évoluer d'un implant à un framework post-exploitation complet ;
• reconnaissance fournissant un profilage détaillé du système et de l'environnement, l'énumération des utilisateurs et des groupes, la découverte des processus et des services, le mappage du système de fichiers et des montages, ainsi que le mappage de la topologie et des interfaces du réseau local ;
• collecte des identifiants de connexion, des clés SSH, des mots de passe et des cookies stockés par les navigateurs, des identifiants Git, des jetons d'authentification, des clés API et des éléments stockés dans le trousseau de clés du système.

Pour faciliter l'exfiltration de données, l'escalade de privilèges et les mouvements latéraux dans les environnements conteneurisés, plusieurs modules post-exploitation sont mis en œuvre, allant des échappements automatisés de conteneurs à l'extraction de secrets, en passant par des commandes dédiées aux mouvements latéraux. En fin de compte, l'objectif de cet implant semble être l'accès furtif à long terme, la surveillance et la collecte de données.

Comme rien n'indique que VoidLink cible activement les machines, aucune mesure immédiate n'est requise de la part des défenseurs, bien qu'il existe des indicateurs de compromission. L'équipe recommande toutefois aux défenseurs de rester vigilants lorsqu'ils travaillent avec des machines Linux.

Conclusion

VoidLink est un framework de commande et de contrôle Linux en plein essor, spécialement conçu pour les environnements cloud modernes et axé sur la furtivité. Le nombre impressionnant de fonctionnalités et son architecture modulaire montrent que les auteurs avaient pour objectif de créer un framework sophistiqué, moderne et riche en capacités. Selon l'équipe, ses fonctionnalités sont bien plus avancées que les logiciels malveillants Linux classiques.

VoidLink vise à automatiser autant que possible l'évasion, en profilant un environnement et en choisissant la stratégie la plus appropriée pour y opérer. Avec son vaste écosystème de plug-ins, il permet à ses opérateurs de se déplacer dans les environnements cloud et conteneurisés avec une furtivité adaptative.

L'utilisation prévue de VoidLink reste floue. Les chercheurs en sécurité de Check Point Research ont déclaré qu'ils n'ont observé aucun signe d'infection réelle. L'équipe estime que la création de VoidLink pourrait indiquer que les attaquants s'intéressent de plus en plus aux systèmes Linux, aux infrastructures cloud et aux environnements de déploiement d'applications, à mesure que les entreprises transfèrent leurs charges de travail vers ces environnements.

Sa conception suggère qu'il pourrait finalement être destiné à un usage commercial, soit en tant que produit, soit en tant que framework développé pour un client. Cette découverte prouve une fois de plus que Linux deviendra une cible de plus en plus importante à mesure qu'il gagnera en popularité.

Source : Check Point Research

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous du framework malveillant VoidLink qui cible les systèmes Linux ?
VoidLink est axé sur le cloud alors que le cloud est en plein essor. Quel défi cela représente-t-il pour les entreprises ?
Quels sont les défis que le framework malveillant VoidLink pose pour la sécurité et l’adoption des systèmes Linux ?

Voir aussi

Linus Torvalds refuse de transformer la documentation du kernel en champ de bataille idéologique « anti-IA » : arrêtez de faire toute une histoire de « l'IA slop » dans la documentation du noyau

L'usage de Linux sur Steam a en fait atteint un record historique, d'après une mise à jour de la dernière enquête sur la plateforme de gaming, la lassitude envers Windows est un des facteurs explicatifs

C'est désormais officiel : Rust dans le noyau Linux sort du cadre expérimental. Le Rust vient de faire l'objet d'intégration comme partie essentielle du kernel aux côtés du toujours présent langage C

[Invité]

Merci de l'avoir détecté et maintenant reste à s'en protéger. Même s'il n'a pas un but malveillant, il sera utilisé à des fins cybercriminels.